1.個人情報の定義とは
個人情報とは、政府のガイドラインによれば、「特定の個人を識別することができる情報(氏名、生年月日、その他の記述等)」を指します。 また、JIPDEC(一般財団法人日本情報経済社会推進協会)の説明では、「特定の個人を識別できる情報(個人識別情報)」と定義されています。具体的には、氏名、生年月日、住所、電話番号、メールアドレスなど、組み合わせにより個人を特定できる情報が該当します。
また、これらの情報だけでなく、趣味や家族構成、保有資格など、個々の特性を示す情報も他の情報と組み合わせることで個人が特定できる場合個人情報となります。
近年では、インターネットの普及に伴い、SNSの投稿内容や閲覧履歴、位置情報なども個人情報として扱われるようになりました。個人情報の取扱いには、プライバシーの観点から細心の注意が必要となります。
2.個人情報保護法の概要
個人情報保護法は、個人情報の適切な取扱いを求める法律で、2003年に制定され、2005年に施行されました。
この法律は、個人情報の利用と保護のバランスを図ることを目的としています。
法制定の背景には、情報化社会の進展に伴い、個人情報が電子化され、容易に取り扱われるようになったことがあります。これにより、個人情報の不適切な取扱いによる権利侵害が問題となりました。また、個人情報の国際的な流通も進んでおり、個人情報の適切な取扱いを求める国際的な動きもありました。
このような背景から、個人情報保護法は、個人情報の取扱いに関するルールを定め、個人情報の保護を図るとともに、個人情報の適切な利用を推進することを目指しています。具体的には、個人情報の取得、利用、提供についてのルールや、個人情報の安全管理、個人情報の開示・訂正・利用停止等の手続き、違反時の罰則等が定められています。
3.企業における個人情報の取り扱い方法
企業ではたくさんの個人情報を取り扱います。顧客、従業員などの個人情報について適切な管理が必要です。
(1)顧客情報の取り扱い
顧客から得た個人情報は、その利用目的を明確にし、その範囲内でのみ使用します。
また、情報の漏洩防止のため、適切なセキュリティ対策を講じ、不要になった情報は適切に廃棄します。
(2)従業員情報の取り扱い
従業員の個人情報も適切に管理する必要があります。
従業員の同意なく情報を第三者に提供することは避け、情報の漏洩防止のためのセキュリティ対策を講じます。
(3)ウェブサイトからの情報収集
ウェブサイトから得た個人情報も、その利用目的を明確にし、その範囲内でのみ使用します。また、クッキーなどを用いて個人情報を収集する場合は、その旨を明示し、ユーザーの同意を得ることが必要です。
以上のように、企業が個人情報を取り扱う際は、その情報の取得、利用、提供、保管、廃棄など、全ての段階で適切な管理を行うことが求められます。
セキュリティ対策には様々な方法がありますが、以下に具体的な例をいくつか挙げてみます。
1.ファイアウォールの設置
ファイアウォールは、不正な通信をブロックするためのシステムです。企業のネットワークとインターネットとの間に設置し、企業内部への不正アクセスを防ぎます。
2.アンチウイルスソフトの導入
コンピュータウイルスからシステムを守るためには、アンチウイルスソフトの導入が必要です。これにより、ウイルスに感染したファイルを検出・除去することができます。
3.パスワードポリシーの設定
強固なパスワードを設定することで、不正アクセスを防ぐことができます。パスワードは定期的に変更し、複雑なものにすることが推奨されます。
4.パッチ管理
ソフトウェアのセキュリティホールを塞ぐために、定期的にパッチ(修正プログラム)を適用することが重要です。
データの暗号化
機密性の高い情報は、第三者に読み取られないように暗号化することが必要です。
6.教育
セキュリティ対策は技術だけでなく、個人情報の取り扱いへの意識も重要です。従業員に対するセキュリティ教育を行い、安全な情報管理を心掛けるようにすることも大切です。
4.プライバシーマークにおける「個人情報」の取り扱い
プライバシーマーク(Pマーク)という、個人情報保護体制に関しての認証制度があります。企業が個人情報を適切に扱っていることを示す認証として、多くの企業が取得しています。
プライバシーマークを取得するためには、「個人情報保護方針」といった方針を定めたり、「個人情報保護管理台帳」を整え、会社が保有する個人情報を適切に管理しなければなりません。
(1)個人情報保護方針
Pマーク制度では、企業が個人情報を適切に管理し、保護するための「個人情報保護方針」の策定が求められます。この方針は、企業が個人情報をどのように取り扱うか、どのような対策を講じるかを明確に示すもので、企業の個人情報保護への取り組みを外部に示す重要なツールとなります。
具体的には、個人情報の取得、利用、提供の範囲を明確にし、適切な管理を行うための体制や制度を設け、それらを遵守することを宣言します。また、個人情報の取扱いに関する苦情や相談に対応する窓口を設けることも求められます。
個人情報保護方針は、企業の個人情報保護への姿勢を具体的に示すものであり、その内容は企業ごとに異なります。
詳しくはこちらのリンクをご参照ください。
(2)個人情報の取り扱いについて
「個人情報の取り扱いについて」というページは、企業が個人情報をどのように管理し、保護するかについての方針を公開しているものです。
これは、プライバシーマークにおいて、個人情報保護法に基づき、企業が個人情報を適切に取り扱うためのルールを明示することが求められているからです。
具体的には、個人情報の収集目的、利用範囲、第三者への提供の有無、安全管理措置、開示・訂正・利用停止の手続きなど、個人情報に関する様々な項目について明記されています。
詳しくはこちらのリンクをご参照ください。
(3)個人情報保護管理台帳
個人情報保護管理台帳とは、企業が個人情報を適切に管理するために使用するツールの一つです。個人情報の収集、利用、提供、保存、廃棄など、個人情報のライフサイクル全体を通じて、その取り扱いを記録し、追跡するためのものです。
個人情報の種類、収集方法、利用目的、提供先、保管期間、廃棄方法等の情報を管理台帳に記録することで、企業は個人情報の取り扱いを適切に管理することができます。
個人情報保護管理台帳について詳しくはこちらのリンクをご参照ください。
まとめ
個人情報とは特定の個人を識別できる情報のことで、近年では、インターネットの普及に伴い、SNSの投稿内容や閲覧履歴、位置情報なども個人情報として扱われるようになりました。
情報化社会の進展に伴い、個人情報が電子化され、容易に取り扱われるようになったことが個人情報保護法の制定や改訂の背景です。
企業における個人情報の取り扱いにも様々なセキュリティ対策が求められます。
その中でもプライバシーマーク取得事業者は、外部に向けて個人情報保護の取り組みを示すことも重要です。
ISO・Pマークについてのお悩みはありませんか?
プロのコンサルタントにお気軽にご相談ください。
ISO・Pマークについてのお悩みはありませんか?
プロのコンサルタントにお気軽にご相談ください。